Geng Siluman ‘WIRTE’ Menargetkan Pemerintah Timur Tengah

A aktor ancaman yang dilacak sebagai WIRTE telah menyerang pemerintah Timur Tengah setidaknya sejak 2019 menggunakan teknik “tinggal di luar negeri” dan makro Excel 4.0 yang berbahaya. yang menanam spreadsheet tersembunyi dan makro VBA untuk meluncurkan intrusi, sistem sidik jari, dan mengeksekusi kode pada mesin yang terinfeksi.

Peneliti mengatakan bahwa implan tahap pertama terlihat mirip dengan implan VBS tahap pertama yang digunakan oleh aktor ancaman persisten lanjutan (APT) MuddyWater untuk pengintaian dan pembuatan profil (alias Mercury, Static Kitten atau Seedworm). Apa pun namanya, MuddyWater secara historis menargetkan korban pemerintah di Timur Tengah untuk mengekstrak data.

Pada April 2019, Kaspersky Lab melaporkan bahwa mereka telah mengamati data eksfiltrasi MuddyWater seperti kredensial dari target pemerintah dan telekomunikasi di Timur Tengah, menggunakan cara yang relatif sederhana, seperangkat alat yang dapat dibuang yang mengungkapkan aktor ancaman yang cukup canggih di tempat kerja – dengan potensi menjadi lebih berbahaya dari waktu ke waktu.

TTP yang Sedikit Berbeda Dari MuddyWater

Tetapi meskipun perangkat intrusi terbaru terlihat mirip dengan implan VBS tahap pertama MuddyWater baru yang digunakan untuk pengintaian dan profiling, mereka menggunakan taktik, teknik, dan prosedur (TTPs) yang sedikit berbeda, kata Kaspersky.

Secara khusus, pelaku ancaman telah memperluas penargetan MuddyWater: Sebagian besar korban masih merupakan entitas pemerintah dan diplomatik Timur Tengah, tetapi serangan sekarang juga sedang diluncurkan terhadap apa yang disebut para peneliti sebagai korban “tidak biasa” dari firma hukum dan lembaga keuangan.

“Sampai saat ini, sebagian besar korban yang diketahui berada di Timur Tengah, tetapi ada juga target di wilayah lain,” menurut laporan itu. “Berbagai industri terkena imbas dari kampanye ini. Fokus utamanya adalah pada entitas pemerintah dan diplomatik, meskipun kami juga melihat penargetan yang tidak biasa terhadap firma hukum dan lembaga keuangan.”

Entitas yang ditargetkan berlokasi di Armenia, Siprus, Mesir, Yordania, Lebanon, Palestina, Suriah, dan Turki.

WIRTE Kemungkinan Terikat to Gaza Cybergang

APT sebenarnya adalah aktor yang kurang dikenal bernama WIRTE, pertama kali dirujuk secara publik oleh Lab52 pada tahun 2019, Kaspersky mengatakan: sebuah kelompok yang dicurigai, dengan kepercayaan rendah, mungkin terkait dengan aktor ancaman Cybergang Gaza.

Gaza Cybergang adalah kelompok kelompok ancaman yang saling terkait yang berbahasa Arab dan bermotivasi politik yang secara aktif menargetkan Timur Tengah dan Afrika Utara sejak setahun yang lalu. Menurut penelitian Kaspersky sebelumnya, Gaza Cybergang memiliki fokus khusus pada Wilayah Palestina.

.EXE Menyamar sebagai ‘Agen Pembaruan Kaspersky’

Rantai infeksi dimulai dengan email spear-phishing yang membawa dokumen Microsoft Excel/Word berbahaya sebagai vektor serangan awal. Dokumen membawa makro VBA tertanam yang dirancang untuk menyebarkan muatan berbahaya.

Untuk menarik target untuk memicu penetes Excel, WIRTE menghiasi email phishingnya dengan logo dan merek entitas yang ditargetkan, atau topik yang sedang tren di wilayah mereka. Dalam satu kasus, geng tersebut meniru Otoritas Palestina, kata Kaspersky.
Contoh email phishing. Sumber: Kaspersky.

Grup ini juga mencuri nama Kaspersky, menempelkan label “Kaspersky Update Agent” palsu ke apa yang sebenarnya dapat dieksekusi yang menjatuhkan implan VBS, seperti yang ditunjukkan di bawah ini.
Eksekusi “Kaspersky Update Agent” palsu bertindak sebagai dropper untuk implan VBS . Sumber: Kaspersky.

Researchers tidak dapat memastikan apakah file yang dapat dieksekusi juga didistribusikan melalui email atau apakah pelaku ancaman mengunduhnya lebih jauh dalam rantai infeksi setelah penetrasi awal, tetapi memiliki alur eksekusi yang sama dengan makro Excel 4.0, kata mereka.

Setelah target membuka penetes Excel dan menonaktifkan mode terproteksi, target akan mengeksekusi serangkaian rumus yang ditempatkan di kolom tersembunyi. Spreadsheet utama, yang meminta target untuk “mengaktifkan pengeditan”, disembunyikan. Kemudian, penetes menampilkan spreadsheet sekunder dengan umpan.

Kemudian penetes menjalankan rumus dari spreadsheet ketiga dengan kolom tersembunyi, yang menjalankan tiga pemeriksaan anti-kotak pasir ini:
Dapatkan nama lingkungan tempat Excel berjalan, bersama dengan nomor versi .

Periksa apakah ada mouse.

Periksa apakah komputer host dapat memutar suara.

Proses akan berhenti jika salah satu dari pemeriksaan tersebut gagal. Jika tidak, makro akan membuka file %ProgramData%winrm.txt sementara, menyimpan stager VBS ke %ProgramData%winrm.vbs dan menambahkan sepasang kunci registri, yang ditunjukkan di bawah, untuk kegigihan melalui pembajakan Component Object Model (COM). Kunci
Registry digunakan untuk pembajakan COM. Sumber: Kaspersky.

Setelah itu, makro menulis potongan PowerShell yang dibungkus dengan kode VB ke dalam %ProgramData%. Kaspersky menyebut cuplikan ini sebagai stager “LitePower”: Stager yang mengunduh payload dan menerima perintah berbaris dari server command-and-control (C2).

Ini adalah perintah yang diamati Kaspersky selama intrusi:

  • List drive disk lokalliu

    <

    ul>iDapatkan daftar perangkat lunak antivirus diinstalliu

    <

    ul>iPeriksa apakah pengguna saat ini memiliki hak adminliu

    <

    ul>iDapatkan arsitektur OSliu

    <

    ul>iPeriksa layanan pintu belakangliu

    <

    ul>iPeriksa kunci registri yang ditambahkan untuk pembajakan COMliu

    <

    ul>iDaftar semua perbaikan terbaru yang diinstalliu

    <

    ul>iAmbil tangkapan layar dan simpan ke %AppData% sebelum mengirimnya ke C2 melalui permintaan POST

  • Server C2 Slippery yang diidentifikasi setidaknya bulan Desember domain C2Peneliti 2019, beberapa di antaranya tersembunyi di balik CloudFlare untuk mengaburkan alamat IP C2 asli mereka.

    Dengan bantuan dari mitra, Kaspersky berhasil mengumpulkan beberapa alamat IP C2 asli, yang mengungkapkan bahwa server di-host di Ukraina dan Estonia, seperti yang ditunjukkan di bawah ini.
    Mapped WIRTE infrastruktur C2 ucture menunjukkan bahwa beberapa server di-host di Ukraina dan Estonia. Sumber: Kaspersky.

    Intrusi yang baru diamati yang dilakukan oleh aktor ancaman menunjukkan penggunaan metode komunikasi yang berbeda dibandingkan dengan serangan yang lebih lama, tetapi port yang sama dan eksekusi perintah PowerShell IEX yang serupa dan fungsi tidur digunakan di semua serangan, kata Kaspersky. menggunakan metode komunikasi yang berbeda dari serangan yang lebih lama, tetapi port yang sama, serta eksekusi perintah PowerShell IEX yang serupa dan fungsi tidur – seperti yang ditunjukkan di bawah ini – digunakan di semua serangan, kata Kaspersky. Permintaan C2
    Old dengan fungsi tidur, kondisi status, dan IEX eksekusi perintah yang mirip dengan intrusi terbaru. Sumber: Kaspersky.

    Dalam serangan sebelumnya, musuh telah menggunakan regsvr32.exe sebagai teknik hidup di luar negeri (LotL). Namun, dalam insiden yang lebih baru, aktor beralih ke teknik LotL lain, termasuk COM hijacking.

    Tetapi dalam kedua kasus, direktori kerjanya adalah %ProgramData%, catat para peneliti – hanya kesamaan lain yang menunjukkan bahwa WIRTE berada di balik intrusi baru-baru ini. “Secara keseluruhan, kami percaya bahwa semua kesamaan ini merupakan indikasi kuat bahwa serangan yang dijelaskan dalam laporan ini dilakukan oleh aktor ancaman WIRTE,” kata Kaspersky.

    “Kami menilai dengan keyakinan rendah bahwa WIRTE adalah subkelompok di bawah Cybergang Gaza. payung,” menurut laporan itu. “Meskipun tiga subkelompok yang kami lacak menggunakan TTP yang sama sekali berbeda, mereka semua kadang-kadang menggunakan umpan yang terkait dengan masalah Palestina, yang belum kami lihat umum digunakan oleh aktor ancaman lainnya, terutama yang beroperasi di kawasan Timur Tengah seperti MuddyWater dan Oilrig. Perangkat yang dimodifikasi

    A memungkinkan WIRTE untuk bersembunyi selama bertahun-tahun, tambah para peneliti. Teknik LotL adalah “tambahan baru yang menarik untuk TTP mereka, sementara penggunaan malware bahasa yang ditafsirkan seperti skrip VBS dan PowerShell membedakan dugaan Cybergang Gaza ini dari subkelompok lain, mengingat hal itu memberi mereka fleksibilitas untuk “memperbarui perangkat mereka dan menghindari deteksi statis kontrol,” kata Kaspersky .

    “Apakah WIRTE adalah subkelompok baru atau evolusi dari subkelompok Cybergang Gaza yang ada, kami melihat mereka memperluas kehadiran mereka lebih jauh di dunia maya dengan menggunakan TTP yang diperbarui dan tersembunyi,” perusahaan itu memperkirakan.

    Ada lautan data tidak terstruktur di internet yang berkaitan dengan ancaman keamanan terbaru. DAFTAR HARI INI untuk mempelajari konsep kunci pemrosesan bahasa alami (NLP) dan cara menggunakannya untuk menavigasi lautan data dan menambahkan konteks ke ancaman keamanan siber (tanpa menjadi ahli!). Balai Kota Threatpost interaktif LANGSUNG ini, disponsori oleh Rapid 7, akan menampilkan peneliti keamanan Erick Galinkin dari Rapid7 dan Izzy Lazerson dari IntSights (perusahaan Rapid7), ditambah jurnalis Threatpost dan pembawa acara webinar, Becky Bracken.

    Daftar SEKARANG untuk acara LANGSUNG!
    Write a comment
    Bagikan artikel ini:

  • Governmentliu

    <

    ul>iHacksliu

    <

    ul>iMalwareliu

      iKeamanan Web
  • Wagiman Wiryosukiro

    Petani Sistem Informasi, tukang las plugin & themes Wordpress. Co-Founder SistemInformasi.biz. Saat ini aktif sebagai Developer & kontributor di OpenMandriva Linux.

    You may also like...